Hardwarefirewall

Anonym_fdf62b9b2d8f · 10. November 2019 um 15:12

Moin,

ein Router macht ja in kleinem Umfang das Selbe wie eine Hardwarefirewall (eingehenden Verkehr blocken).
Kann eine Hardwarefirewall noch andere Dinge blocken oder vor Attacken besser schützen? Oder ist die Sperre schwerer zu umgehen? Hat die Hardwarefirewall noch andere nützliche Dinge/Vorteile zu einem Router?(Abgesehen vom Blocken des ausgehenden Traffics)

Ich habe nämlich ein kleines Privatnetzwerk(7 Rechner) und nutze bislang nur einen Speedportrouter 7xx und auf den Rechnern eine Softwarefirewall. Das nervt aber mit dem ständigen Freigeben von IPs im Privatnetz. Nun möchte ich gerne von den Softwarefirewalls weg. Würde dort mein Router allein reichen(Wenn ich den ausgehenden Traffic kontrolliere) oder ist da eine Hardwarefirewall besser?

Hermann_Schaefer · 10. November 2019 um 15:12

Moin,

ein Router macht ja in kleinem Umfang das Selbe wie eine
Hardwarefirewall (eingehenden Verkehr blocken).
Kann eine Hardwarefirewall noch andere Dinge blocken oder vor
Attacken besser schützen? Oder ist die Sperre schwerer zu
umgehen? Hat die Hardwarefirewall noch andere nützliche
Dinge/Vorteile zu einem Router?(Abgesehen vom Blocken des
ausgehenden Traffics)

Es gibt keine „Hardwarefirewalls“. Was es gibt, sind Computer, deren Betriebssysteme mehr oder weniger fest in Chip gebrannt/geflasht sind und die schlicht nichts anderes können. Den gleichen Effekt kann man erreichen, in dem man auf einem normalen PC eine *nix-Firewall von CD startet und die Konfigurationsdaten von einem schreibgeschützten USB-Stick einliest. Typischerweise sind „fertige“ Firewalls allerdings in netten kleinen Gehäusen im 19"-Format und haben meist keine aktive Kühlung aka Lüfter. Aber auch das bekommt man mit Stromspar-PCs in 19"-Gehäusen hin.

Ich habe nämlich ein kleines Privatnetzwerk(7 Rechner) und
nutze bislang nur einen Speedportrouter 7xx und auf den
Rechnern eine Softwarefirewall. Das nervt aber mit dem
ständigen Freigeben von IPs im Privatnetz.

Lass den Softwaremüll einfach weg, alle „normalen Angriffe“ enden bei dir eh schon am Router. Dieser sollte allerdings korrekt eingestellt sein und die aktuelle Firmware haben.

Nun möchte ich
gerne von den Softwarefirewalls weg. Würde dort mein Router
allein reichen(Wenn ich den ausgehenden Traffic kontrolliere)
oder ist da eine Hardwarefirewall besser?

Normale Router sind für normale Leute völlig ausreichend. Wer Lust hat - und Zeit - kann sich eine Firewall auf Basis von Linux basteln, empfehlenswert sind IPCop oder auf FreeBSD-Basis pfsense.

Chris_XY · 10. November 2019 um 15:15

ein Router macht ja in kleinem Umfang das Selbe wie eine
Hardwarefirewall (eingehenden Verkehr blocken).

Naja blocken ist falsch gesagt. Solange keine Portweiterleitungen eingerichtet sind, weiß der Router eben nicht, was er mit reinkommenden Paketen machen soll und verwirft sie deshalb.

Kann eine Hardwarefirewall noch andere Dinge blocken oder vor
Attacken besser schützen?

Naja, was heißt schon besser schützen. Wenn die „Attacken“ sowieso schon am Router hängen bleiben…

Hat die Hardwarefirewall noch andere nützliche
Dinge/Vorteile zu einem Router?(Abgesehen vom Blocken des
ausgehenden Traffics)

Man hat mehr Einstellungsmöglichkeiten als bei Billigroutern. Wenn man verhindern will, dass die User die Firewall durchtunneln mit SSH Tunneln, VPN, Skype, etc., dann hast du ziemliche Probleme, das mit einem billigeren Router einzustellen.
Einige Router sind aber auch schon „geknackt“ worden, da kann man die Firmware gegen Openwrt tauschen und hat dann ein fast vollwertiges Linux drauf laufen und kann alle Möglichkeiten von iptables nutzen und kann auch noch zusätzliche Pakete installieren. Da hätte man dann eine fast vollwertige „Hardwarefirewall“.

http://openwrt.org/
http://de.wikipedia.org/wiki/Iptables

auf den
Rechnern eine Softwarefirewall.

Warum?

Würde dort mein Router
allein reichen(Wenn ich den ausgehenden Traffic kontrolliere)
oder ist da eine Hardwarefirewall besser?

Was ist falsch am ausgehenden Traffic?

Anonym_fdf62b9b2d8f · 10. November 2019 um 15:25

Kann eine Hardwarefirewall noch andere Dinge blocken oder vor
Attacken besser schützen?

Naja, was heißt schon besser schützen. Wenn die „Attacken“
sowieso schon am Router hängen bleiben…

Gibt es denn Arten von Angriffen etc, die beim normalen Router nicht hängen bleiben dafür aber an der Hardwarefirewall?
Hat eine Hardwarefirewall keine zusätzlichen Filter die ein normaler ALDI Router nicht hat?

MfG
AMD

Hermann_Schaefer · 10. November 2019 um 15:26

Gibt es denn Arten von Angriffen etc, die beim normalen Router
nicht hängen bleiben dafür aber an der Hardwarefirewall?

Ein Router unterscheidet sich schon von einer Firewall. Je nach Komplexität kann eine Firewall Regelwerke anwenden, die bis auf Anwendungseben hoch reichen, also z.B. gezielt bestimmte Attacken gegen Server abfangen, p2p-Verkehr blockieren usw.

Hat eine Hardwarefirewall keine zusätzlichen Filter die ein
normaler ALDI Router nicht hat?

Ja, meist schon. Es gibt da natürlich fließende Grenzen. Ein „dummer“ NAT-Router filtert nichts, aber Verkehr von außen wird per se erst mal durch das NAT-Prinzip geblockt. Typische Windowswürmer bleiben da schon mal draußen. Die etwas „besseren“ Router schmücken sich dann meist noch mit einem Menüpunkt „Firewall“, wobei dahinter meist nichts bis nur minimalistische Versuche stecken, etwas besser den ankommenden Verkehr zu überwachen. Ausgewachsene Regelwerke wie Snort (http://www.snort.org) würde die Dinger gar nicht verdauen können, denn dazu braucht es mehr Rechenpower und viel mehr Arbeitsspeicher, als so ein „Aldi-Router“ hat. Geht man dann auf die Ebene der Layer-7-Filter, wäre der Aufwand noch wesentlich höher, so etwas findet man nicht mehr in SOHO-Routern.
Auf BSD oder Linux aufgebaute Firewalls können das, aber die Einrichtung und die Adminstration ist durchaus komplex, ein Privatanwender damit völlig überfordert, der würde mehr falsch als richtig machen.